在冠状病毒病大流行期间,视频会议应用程式在全球变得空前流行。然而,人们已重新思考这些应用程式的一些安全和私隐问题,例如在视频会议期间有人入侵并显示不雅内容、追踪用户的专注度、在未经用户同意的情况下与第三方分享用户资料、缺乏端对端加密,以及通过其他地方传输视频会议数据。从个人资料私隐的角度来看,应该如何挑选和安全地使用这些应用程式呢?
直到最近几个月,视频会议应用程式的使用才成为热门话题,原因是当前冠状病毒病大流行导致有必要保持社交距离,视频会议服务的需求因而飚升。根据一款的视频会议应用程式,其每日视频会议参与者的数目从2019年12月底的约一千万人增加到2020年4月的三亿多人。视频会议应用程式被广泛应用于商务会议和线上课程,更不用说令相距遥远的家人和朋友能得以虚拟地相互联系。业余用户数量的激增,加上用法简单和便利,一如所料地为坏份子制造了机会去利用这些应用程式的漏洞,尤其是通过发放不适当的内容扰乱视频会议。美国非牟利消费者组织「消费者报告」在2020年4月30日发布的一份报告显示,视频会议应用程式的其他私隐问题包括在视频会议中收集用户资料,以建立用户档案,并与第三方分享用户资料。网络攻击,包括黑客入侵和网络钓鱼,仍然是令人担心的问题。据报道,一些本地高等教育机构和公共机构因此停止使用一款流行的视频会议应用程式。
功能和措施
不同的视频会议应用程式所提供的功能类似,譬如允许用户(1)为每个视频会议创建唯一的会议识别编号和密码,(2)在视频会议期间与其他参与者共享屏幕和文档,(3)录影视频会议,(4)由主持人移除参与者或将参与者「静音」。同时,应用程式的一些私隐保障和安全措施可能会有所不同。在选择视频会议应用程式时,用户应该检查应用程式提供的私隐保障和安全措施是否可以满足他们的要求。一般安全措施包括:(1)使用端对端加密,(2)选择数据中心的位置,(3)提供虚拟等候室来验证参与者,(4)在所有参与者加入后锁定会议,(5)控制谁可以与其他人共享屏幕和文档,以及(6)在会议期间使用虚拟背景或将背景模糊化,以使背景中的东西不会泄露私人资料。用户还应审查和了解法律规定要有的应用程式私隐政策和使用条款,例如(1)可以与谁分享用户资料,(2)用户资料的预计用途(例如用户概况汇编和投放广告),以及(3)用户资料的保留期限。用户尤其应查看和了解视频会议供应商会收集、使用和披露开设账户者或参加视频会议者的个人资料。
尽职审视
在使用视频会议应用程式时,建议主持人利用所有可用的私隐保障和安全措施。其他预防措施可能包括(1)禁止电话拨入,(2)禁用视频录影功能,(3)禁止文件传输,并仅限于主持人共享屏幕,(4)禁止参与者早于主持人加入会议,(5)使用并定期更新独特且复杂的密码,而不重复使用与视频会议账户相同的密码,和(6)避免在社交媒体平台或网站上宣布会议,以及(7)仅向预期参与者提供会议识别编号和密码。
对于视频会议的参与者,他们应该(1)在不注册用户账户的情况下以客人身份加入会议,以减少数码足迹。如果无可避免要注册用户账户,他们应该(2)创建新的电邮地址进行注册,并避免使用已分配给其他更重要事项(如电子银行)的电邮地址。(3)如无必要,参与者还应关闭摄录镜头和麦克风,并且(4)避免在会视频会议期间谈论非必要的私人资料。为防对话内容被其他人无意中听到,参与者(5)应使用耳机。(6)声控的智能家居助理应在视频会议期间关闭,以防意外地启动有关装置的录音功能。
如果使用网络浏览器进行视频会议,(1)应为会议打开一个新视窗,并应关闭所有其他应用程式(如电邮),以防止资料意外洩露。理所当然地,(2)只应使用最新版本的软件或具有最新安全功能的手机应用程式。(3)用户应追踪与其选用的视频会议应用程式相关的新闻,以获得最新的安全威胁和软件更新资讯。
贯彻私隐设计
在最近的私隐和安全事件之后,一款广受欢迎的视频会议应用程式承诺采取更有利于私隐的措施作为补救措施,如(1)取消追踪用户专注度的功能,(2)停止与社交媒体公司分享用户资料,并(3)允许主持人选择用以传送视频会议数据的数据中心区域。
视频会议应用程式及其漏洞都是典型的例子,说明贯彻私隐设计和贯彻安全设计的重要性。如果应用程式开发者和服务供应商在推出他们的服务之前识别并解决了所有的私隐和安全问题,就可以省去所有后续的麻烦。透明度和可解释性是关键。同样地,如果机构能以旺角街头的人都能理解的语言,全面而清晰地解释如何使用和保障他的资料,则肯定会取得使用者的信任和信心。为提供有关贯彻私隐设计的指引,私隐专员公署与新加坡个人资料保护委员会联合出版了《资讯及通讯科技系统的贯彻资料保障设计指引》。
公平地说,部份视频会议应用程式并不是为讨论机密资料或敏感内容的会议而设的。虽然这些应用程式的便利性和容易使用性很吸引人,特别是考虑到在冠状病毒病大流行的艰辛时期进行面对面交流是非常困难,但用户和应用程式开发人员必须对私隐保障保持警惕和尊重,以尽量减少可能侵犯私隐的情况,并防止敏感资料外洩。 个人固然要保持警惕,机构亦应该强调网络安全、守法文化、问责以及数据道德。鉴于视频会议服务的潜在个人资料风险,我们鼓励机构和消费者采纳私隐专员提出的建议和做法(www.pcpd.org.hk)。大家可能有兴知道美国国家安全局就《挑选和安全地使用协作服务以进行遥距工作》所提出的观察,当中亦有就13款现有商业性协作服务如何满足该局的保安标准作出了初步评估(https://media.defense.gov/2020/Apr/24/2002288653/-1/-1/0/CSI-SELECTING-AND-USING-COLLABORATION-SERVICES-SECURELY-SHORT-FINAL.PDF)。